Guía de Relaciones Laborales de la AEPD

En el marco de la 31 Conferencia Internacional de Privacidad, la Agencia Española de Protección de Datos ha editado una interesante Guía de Relaciones Laborables donde se unifican varios de los conceptos, informes jurídicos y resoluciones ya indicados por la Agencia acerca de la protección de datos personales en las relaciones entre empresas y trabajadores, y que aquí se reúnen ahora en este documentos para unificar criterios.

La Guía se divide en cuatro bloques: Recursos humanos, Prevención de riesgos laborales, Controles empresariales y Relaciones con los sindicatos. Además se añade una sección sobre los deberes de los trabajadores que aaceden a datos de carácter personal. Para ello se recomienda:

• Diseñar las funciones y responsabilidades de la plantilla de personal teniendo en cuenta su relación con el tratamiento de datos personales.
• Formar adecuadamente a los trabajadores teniendo en cuenta su distinto grado de responsabilidad y garantizando que conozcan sus deberes de seguridad y secreto. La formación debe contribuir a crear una cultura de compromiso con la protección de datos.
• Advertir y formar incluso a aquellos trabajadores que no teniendo una relación directa con los sistemas de información y los tratamientos de datos personales puedan poner en peligro el secreto o la seguridad de los mismos.

Guía de Relaciones Laborales (PDF 684 KB)

Grupos de empresas y la LOPD

Otro clásico en cuestiones planteadas por clientes: si tengo varias empresas que comparten bases de datos, basta con que la central cumpla la LOPD, ¿cierto? Pues no. Independientemente de que una serie de empresas compartan propietario o estén participadas, cada una es una persona jurídica con sus propias obligaciones legales, y de la misma forma que presentarán sus declaraciones de IVA o IRPF, su impuesto de sociedades, etc, de forma individual, cada una deberá afrontar el cumplimiento de sus obligaciones en el ámbito de la protección de datos.

El caso específico de la creación de una base de datos centralizada, que se sustenta de los datos de los empleados que envían a la misma las distintas empresas que forman el grupo, se trató en el Informe 0494/2008 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).

Siguiendo el criterio citado en el párrafo inicial, cada una de las empresas que integran el grupo será responsable del fichero de datos de sus correspondientes empleados, y por lo tanto la empresa central, que realmente estaría presntando un servicio de hosting (alojamiento de los ficheros) se configuraría como encargado de tratamiento, en el sentido del apartado g) del artículo 3 de la LOPD. Ello sucederá siempre que la empresa prestataria del servicio de alojamiento no pueda en modo alguno decidir sobre el contenido, finalidad y uso del tratamiento y siempre que su actividad no le reporte otro beneficio que el derivado de albergar la base de datos, sin utilizarla en modo alguno en su provecho, puesto que en ese caso pasaría a ser responsable del fichero, existiendo una cesión de datos de carácter personal que, tal y como exige el artículo 11.1 de la Ley Orgánica 15/1999, requerirá el consentimiento de los afectados.

En definitiva, la incorporación de los datos de los empleados a la base de datos centralizada, exige que cada empresa haya informado debidamente a los afectados en los términos del artículo 5.1 de la Ley Orgánica 15/1999 y que haya obtenido el consentimiento de éstos para la incorporación de su información personal en dicha base de datos. Y por lo tanto, en buena lógica, deberán formalizarse los correspondientes contratos de tratamiento de datos entre las diferentes empresas y la central.

El Corredor de Seguros y los datos de los asegurados

El Informe 0463/2009 del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD), aborda el asunto del tratamiento de los datos que un corredor de seguros puede efectuar tras haber extinguido unilateralmente la relación con la entidad tomadora de seguros.

La Ley 26/2006 de Mediación de seguros y reaseguros privados, en su artículo 62 regula la condición de responsable o encargado del tratamiento, que tienen los agentes de seguro, o corredores:

1. c) Los corredores de seguros y los corredores de reaseguros tendrán la condición de responsables del tratamiento respecto de los datos de las personas que acudan a ellos.

Por lo tanto en su condición de responsable del tratamiento, la AEPD indica que habiendo dejado de ostentar la condición de mediador de seguros, debe de proceder a cancelar la base de datos.

Por otro lado el artículo 63 de la Ley 26/2006 en sus apartados 3 y 4 señala que:

3. Los corredores de seguros podrán tratar los datos de las personas que se dirijan a ellos, sin necesidad de contar con su consentimiento:

a) Antes de que aquéllos celebren el contrato de seguro, con las finalidades de ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley y de facilitar dichos datos a la entidad aseguradora o reaseguradora con la que fuese a celebrarse el correspondiente contrato.

b) Después de celebrado el contrato de seguro, exclusivamente para ofrecerles el asesoramiento independiente, profesional e imparcial al que se refiere esta Ley o a los fines previstos en su artículo 26.3. Para la utilización y tratamiento de los datos para cualquier otra finalidad distinta de las establecidas en las dos letras anteriores, los corredores de seguros deberán contar con el consentimiento de los interesados.

4. Resuelto el contrato de seguro en cuya mediación hubiera intervenido un corredor de seguros o un corredor de reaseguros, éste deberá proceder a la cancelación de los datos, a menos que el interesado le hubiera autorizado el tratamiento de sus datos para otras finalidades y, en particular, para la celebración de un nuevo contrato. En todo caso, el corredor de seguros y el corredor de reaseguros no podrán facilitar los datos del interesado a otra entidad distinta de aquélla con la que el interesado hubiera celebrado el contrato resuelto si no media su consentimiento inequívoco para ello.

Y aquí es donde la AEPD da verdaderamente en el clavo de porqué a un corredor de seguros le conviene sin duda cumplir la LOPD más allá de las obligaciones mínimas inherentes a su situación empresarial (responsable del tratamiento) hasta convertirse en un responsable del fichero:

En virtud del contenido del mencionado artículo, debemos de señalar que la correduría de seguros, si hubiera obtenido con anterioridad a la rescisión de la relación contractual, legítimamente el consentimiento de los asegurados, podrá seguir tratando los datos, en los términos en los que autorizó cada asegurado.

Lo poco que valen tus datos... y lo caros que pueden salir

D. B.B.B. (en adelante el denunciante) denunció ante la Agencia Española de Protección de Datos (AEPD) a las compañías DE´NOGAL y GUPOST, manifestando que haber recibido un envío de publicidad no solicitada en su domicilio, conteniendo sus datos personales sin que haya existido ningún tipo de relación comercial previa. También, añadió que no figura la fuente de obtención de sus datos ni el contacto para poder hacer uso de sus derechos en cuanto al tratamiento de sus datos personales (cancelación, oposición, etc.).

La historia sobre de dónde habían sacado sus datos y cómo habían llegado hasta la empresa emisora es de lo más rocambolesca, y detalle más o menos, se resume así:

• La entidad Arvato Services Iberia S.A., en virtud de acuerdo de distribución, le proporciona a Informa D & B, un fichero de base de datos de personales para marketing, en dicho fichero se encuentran los datos personales del denunciante, habiéndose acreditado su obtención de una fuente de acceso público (la Guía QDQ).
• Informa D & B procedió a facilitar a GRUPO LIDER unos ficheros de marketing entre los que se encontraban el fichero que contenía los datos personales del denunciante.
• GRUPO LIDER y GRUPO LINCE ASPRONA S.L.U (en adelante GRLAP) formalizaron un contrato de prestación de servicios para la realización de servicios de publicidad directa. En virtud del mencionado contrato, GRUPO LIDER facilitaba a GRLAP una base de datos, para la realización del envío publicitario, así como el texto comercial a incluir, y el formato del sobre a remitir en la campaña.
• GRLAP no intervino en la creación, diseño o redacción del contenido de la comunicación comercial facilitada por GRUPO LÍDER, siguiendo las instrucciones recibidas de esta empresa, tampoco ha participado ni en el diseño de parámetros de la base de datos facilitada ni en la elaboración de la misma.
• Como consecuencia de las relaciones jurídicas anteriormente referenciadas, el denunciante, recibió un envío comercial de la entidad DE`NOGAL en cuyo sobre consta su nombre, apellidos y domicilio “(C/.....................)”, también figura como empresa que realizó el franqueo “GUPOST”, fecha “9.5.08” y como remitente “de´nogal parking hipercor la flecha (.........)”. En el interior del citado sobre figuraba un documento publicitario –carta-descuento- de muebles “de´nogal.
• En el envío publicitario recibido por el denunciante, en el que se tratan sus datos personales no consta información relativa al origen de sus datos ni la información relativa al ejercicio de sus derechos de acceso, rectificación, cancelación y oposición.

Basándose en estos hechos probados, la AEPD acordó iniciar el Procedimiento Nº PS/00224/2009 a GRUPO LIDER DE COMPRAS, S.L. por la presunta infracción del artículo 5 en relación con el 30.2 de la LOPD, tipificada como GRAVE en el artículo 44.3 l) de la citada Ley Orgánica.

Las alegaciones de Grupo Líder resultaron ser de lo más variopintas, intentando cargar toda la responsabilidad sobre Informa e indicando que Avanto era el verdadero responsable del fichero, que dio determinadas instrucciones para su uso a Informa y que ésta último incumplió sus obligaciones al no informar a Grupo Líder de estas instrucciones (pags 5 a 7 del procedimiento).

La AEPD responde tajante en los Fundamentos de Derecho:

GRUPO LIDER DE COMPRAS S.L., (en adelante GRUPO LIDER), es de conformidad con las definiciones responsable del fichero y del tratamiento. Del fichero en tanto que lo adquirió de Informa D & B, de conformidad con las manifestaciones obrantes en el expediente y las facturas emitidas por ésta cuyo concepto consta “Base de Datos de Marketing”, (Folios 128 a 130). Responsable del tratamiento, en tanto que fija los parámetros de la campaña y contrato con GRUPO LINCE ASPRONA S.L.U. (en adelante GPLA), para la realización de servicios de prospección comercial, para lo cual GRUPO LIDER dio las instrucciones precisas, y en definitiva decidió sobre la finalidad, contenido y uso del tratamiento.
(...)
En definitiva, la representación de GRUPO LIDER pretende descargar la responsabilidad de su actuación en otras entidades que participaron en el itering relativo a la realización de la campaña publicitaria, de la que sale el envío objeto de discusión en el presente procedimiento.
Pues bien, admitiendo la interpretación de GRUPO LIDER, se estaría abonando zonas de impunidad en lo referente al tratamiento de datos personales, es decir, no se puede, al socaire de un incumplimiento de un contrato privado, dejar de observar los mandatos que la LOPD impone. Cualquier persona física o jurídica que intervenga en el tratamiento de datos personales ha de observar las prescripciones de la LOPD, y en el presente caso, GRUPO LIDER se constituye en responsable del tratamiento de conformidad con el art. 43 LOPD y lo expuesto en el Fundamento de Derecho anterior, y por tanto susceptible de generar responsabilidad por incumplimiento de la LOPD.

Pero es que además en el contrato entre Grupo Líder y GRLAP se especificaba:

“En consecuencia, corresponderá a la entidad LIDER DE COMPRAS, en su condición de titular y responsable del fichero o ficheros que pudieren ser objeto de tratamiento por parte de LINCE GUPOST, observar y cumplimentar cuantas obligaciones pudieren venir impuestas por la normativa legal.
Especialmente, y sin que ello tenga carácter exhaustivo, la entidad LIDER DE COMPRAS deberá cumplimentar o haber cumplimentado, por si misma, las obligaciones establecidas en la vigente Ley Orgánica 15/1999 en relación con la recogida de datos informaciones a facilitara los afectados, cumplimentación de los derechos de los mismos y formalización de las notificaciones que puedan proceder a la Agencia de Proteccion de Datos.”

Todo este enredo y trasvase de datos entre varias empresas no anula el hecho de los datos fueron obtenido de una fuente de acceso público (guía QDQ), pero la denuncia deja la descubierto que en el envío no se cumplían las obligaciones señaladas en el artículo 30.2 de la LOPD:

Cuando los datos procedan de fuentes accesibles al público, de conformidad con lo establecido en el párrafo segundo del artículo 5.5 de esta Ley, en cada comunicación que se dirija al interesado se informará del origen de los datos y de la identidad del responsable del tratamiento, así como de los derechos que le asisten.

Grupo Líder solicita también la aplicación del artículo 45.5 de la LOPD con el fin de reducir la posible sanción, pero tampoco lo consigue:

GRUPO LIDER solicita la aplicación del citado precepto, sin embargo no procede dicha aplicación, ya que pretende escudar el incumplimiento en que Informa no le suministró la información necesaria para el cumplimiento de la LOPD ( Págs. 4 a 6 de las alegaciones de GRUPO LIDER), afirmación en modo alguno se puede admitir.
GRUPO LIDER no ha mostrado un celo y diligencia, que debe ser de notable entidad en atención a su actividad mercantil de la que se infiere un continuo tratamiento de datos personales, al establecer ninguna previsión relativa a la información que debían ofrecer sus envíos publicitarios (...)

Un detalle que me ha llamado la atención es que en el procedimiento se especifica el tamaño de la base de datos vendida (un fichero con 9.935 registros que contenía Profesionales y Personas Físicas y otro de 1.779 registros), así como el precio facturado (1.502,47€), lo cual resulta en un precio de 13 céntimos de euro por cada registro. Y sin embargo el mal uso de los datos lleva a esta consecuencia:

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad GRUPO LIDER DE COMPRAS S.L., por una infracción del artículo 5 relacionado con el artículo 30.2, ambos de la LOPD, tipificada como grave en el artículo 44.3 l) de dicha norma, una multa de 60.101,21 € (sesenta mil ciento un euro con veintiún céntimos de euro) de conformidad con lo establecido en el artículo 45 de la citada Ley Orgánica.

Informe Jurídico sobre la huella dactilar (y otros datos biométricos)

Hace unos días comentaba en el blog Marketing Positivo la Declaración de Infracción de la AEPD sobre la puesta en marcha por parte de un Museo público de un sistema de control de presencia de trabajadores basado en la huella dactilar. La AEPD sancionaba tal práctica sin entrar demasiado en el fondo del asunto, puesto que desde el incio quedaba claro que faltaba la pieza básica del cumplimiento de la LOPD: el consentimiento para el uso de datos personales, ya que tales datos habían sido recogidos sin haber procedido a informar previamente, de forma expresa, precisa e inequívoca, de ninguno de los extremos previstos en el artículo 5.1 de la LOPD.

Sin embargo uno de los habituales del blog comentaba:

¿Porqué no se entra nunca en la información excesiva?, ¿la huella no es información excesiva para prevenir una cosa tan nimia como un control de presencia?, ¿no hay técnicas eficaces y menos invasivas? ¿Los tornos y los vigilantes de seguridad no son suficientes? ¿cuando es suficiente? ¿tendras las empresas "información suficiente" alguna vez?

Aunque esto podría parecer un asunto alejado de la problemática de los profesionales y pequeñas empresas a quienes preferentemente se dirige este blog, resulta que el dueño de un taller mediano (15 empleados) me comenta que le han ofrecido montarle un sistema de control similar al comentado y ya que le ha parecido relativamente económico quiere saber si le puede dar problemas desde la perspectiva LOPD.

Como siempre que se da asesoramiento de tipo jurídico hay que extremar las precauciones, acudimos a la web de la AEPD por ver si entre sus miles de documentos hay más referencias al asunto, y así encontramos el Informe Jurídico 0368/2006. En este caso se respondía la cuestión de si puede establecerse un sistema de control para gestionar las ausencias y retrasos de los alumnos, basado en la obtención de la huella dactilar de éstos.

Primero se define el concepto de dato biométrico:

Son datos biométricos aquellos aspectos físicos que, mediante un análisis técnico, permiten distinguir las singularidades que concurren respecto de dichos aspectos y que, resultando que es imposible la coincidencia de tales aspectos en dos individuos, una vez procesados, permiten servir para identificar al individuo en cuestión. Así se emplean para tales fines las huellas digitales, el iris del ojo, la voz, etc.

Después se cita documentación europea:

A nuestro juicio, tal y como se ha venido indicando por el Grupo de trabajo creado por el artículo 29 de la Directiva 95/46/CE, en el Documento de Trabajo sobre biometría, de fecha 1 agosto de 2003, la obtención de la huella dactilar como medio para identificar a los alumnos en el centro resulta excesivo y desproporcionado, para dicha finalidad.

Y finalmente se declara:

En consecuencia, entendemos que resulta desproporcionado y por ello contrario a lo dispuesto en el artículo 4.1 de la Ley Orgánica 15/1999 antes citado, la utilización de la huella dactilar como medio para controlar el acceso de los alumnos al centro escolar y tal finalidad puede conseguirse, sin duda, de una manera menos intrusiva en relación con los derechos de los alumnos.

¿Aplicación a una empresa en control de trabajadores? Aunque en el Informe no se trate el tema desde la perspectiva empresarial, entiendo que a falta de otro documento se puede traspasar el concepto y aconsejar tal y como se dice en el texto buscar un medio de control menos intrusivo.

Ni se te ocurra enviar un spam a D. S.S.S.

Hace ya más de un año comenté aquí una sanción de las muchas que se dan por vulneración de la LSSI al realizar envíos comerciales no solicitados (spam) por correo electrónico, que tenía la peculiaridad de que el receptor denunciante había incluído un aviso en su web dejando las cosas bien claras:

ADVERTENCIA: En ningún caso la publicación de estos datos de contacto significa el consentimiento a recibir comunicaciones comerciales no solicitadas. Cualquier comunicación de este tipo recibida por correo electrónico es un delito tipificado por la LSSI y será denunciada ante la Agencia de Protección de Datos a efectos de abrir expediente sancionador, pudiendo resultar en sanciones de hasta 601.012,10 euros. Así mismo queda expresamente prohibido incorporar esta información en cualquier tipo de fichero informatizado sin el consentimiento previo de On-Line Services 2000, SL.

En aquel caso citado el denunciado había hecho caso omiso de tal advertencia y su acción terminó siendo sancionada con 600€.

Quizás con el fin de que no se sintiera sólo, quizás por una súbita epidemia de ceguera, o quizás simplemente porque buena parte de las empresas de email marketing (y el resto) manejan habitualmente la LOPD y la LSSI a beneficio de inventario, el caso es que On-Line Services y su responsable D. S.S.S.(probablemente como casi todos) sigue recibiendo spam... y además (a diferencia de casi todos) lo sigue denunciando. Y para muestra, no un botón, sino una buena y reciente colección:

• En el procedimiento sancionador PS/00023/2009, instruido por la Agencia Española de Protección de Datos (AEPD) a la entidad COCINEROS INFO COOKING SERVICES, S.L., vista la denuncia presentada por D. S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad COCINEROS INFO COOKING SERVICES, S.L., por una infracción del artículo 21.2 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 600 € (Seiscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
  
• En el procedimiento sancionador PS/00232/2009, instruido por la AEPD a C.C.C., vista la denuncia presentada por S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a C.C.C., por una infracción del artículo 21 de la LSSI, apartado 1 y segundo párrafo del apartado 2 del mismo, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
• En el procedimiento sancionador PS/00060/2009, instruido por la AEPD a la entidad GRUPO KREA 2000 COM NETWORK, S.L., vista la denuncia presentada por D. S.S.S., el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad GRUPO KREA 2000 COM NETWORK, S.L., por una infracción del artículo 21.1 de la LSSI, tipificada como leve en el artículo 38.4.d) de la LSSI, una multa de 1.200 € (Mil doscientos euros), de conformidad con lo establecido en los artículos 39.1.c) y 40 de la citada LSSI.
• En el procedimiento sancionador PS/00585/2008, instruido por la AEPD a la entidad GREEN TAL S.A., vista la denuncia presentada por S.S.S. y en base a los siguientes, el Director de la AEPD RESUELVE: PRIMERO: IMPONER a la entidad GREEN TAL S.A., por una infracción del artículo 21 de la LSSI, tipificada como leve en el artículo 38.4.d) de dicha norma, una multa de 1.800 €, de conformidad con lo establecido en el artículo 39.1 de la citada LSSI, teniendo en cuenta los criterios que se recogen en el artículo 40 de la misma norma.

Ya podemos decir que D. S.S.S. supera a Estación de Servicio Islares como el máximo justiciero de la protección de datos.

Test psicotécnicos y comunicación de datos al Comité de Disciplina Deportiva

Dos nuevos Informes Jurídicos de la Agencia Española de Protección de Datos (AEPD) sobre datos de salud y el ámbito deportivo.

• En el Informe 0414/2009, Comunicación de datos al Comité de Disciplina Deportiva, la consulta plantea si la comunicación de determinados datos relacionados con un expediente de disciplina deportiva resulta conforme con la LOPD. La AEPD aclara que siempre y cuando la información no se utilice para ningún otro fin, está entre las atribuciones legales de los Comités de Disciplina Deportiva recabar todos los datos necesarios para ejercer correctamente sus funciones investigadoras y sancionadoras.
• En el Informe 0445/2009, La realización de test psicotécnicos implica el tratamiento de datos de salud, se analiza la actividad de una empresa que realiza evaluaciones psicotécnicas de aptitudes, características de personalidad y preferencias profesionales de los alumnos. Además de la obvia declaración del título, en el informe se aclara que podemos concluir que al tratarse de datos relacionados con la salud de los escolares, deberá contarse con su consentimiento expreso para que pueda procederse al tratamiento y tratándose de menores de edad, el artículo 13.1 del reglamento de desarrollo de la Ley Orgánica 15/1999 establece, como criterio general que “Podrá procederse al tratamiento de los datos de los mayores de catorce años con su consentimiento, salvo en aquellos casos en los que la Ley exija para su prestación la asistencia de los titulares de la patria potestad o tutela. En el caso de los menores de catorce años se requerirá el consentimiento de los padres o tutores”.

Cesión de los TC2 y nóminas de los trabajadores de las subcontratas

El asunto de la obligatoriedad o no de la cesión de datos como los TC2 y las nóminas de empresas subcontradas a las empresas contratistas es uno de los que más veces me ha surgido entre las dudas de los clientes acerca de la aplicación de la Ley Orgánica de Protección de Datos (LOPD). La Agencia Española de Protección de Datos (AEPD) acaba de publicar sobre este tema el Informe Jurídico 0412/2009, variando en parte la tesis mantenida hasta ahora.

Por una parte el artículo 42.1 del Estatuto de los Trabajadores dispone que

Los empresarios que contraten o subcontraten con otros la realización de obras o servicios correspondientes a la propia actividad de aquéllos deberán comprobar que dichos contratistas están al corriente en el pago de las cuotas de la Seguridad Social. Al efecto, recabarán por escrito, con identificación de la empresa afectada, certificación negativa por descubiertos en la Tesorería General de la Seguridad Social, que deberá librar inexcusablemente dicha certificación en el término de treinta días improrrogables y en los términos que reglamentariamente se establezcan. Transcurrido este plazo, quedará exonerado de responsabilidad el empresario solicitante.

Como bien se aclara en el informe:

La comunicación de datos tales como el TC2 y las nóminas no permite amparase en el mencionado artículo, dado que dicho artículo es claro al concretar que, el contratista habrá de conocer, a través de los certificados previstos en el artículo 42.1 del Estatuto de los Trabajadores el cumplimiento por parte del subcontratista de sus obligaciones en materia de seguridad social en relación con los trabajadores subcontratados, dado que en caso contrario responderá del cumplimiento de dichas obligaciones.

Por otro lado el artículo 42.2 del Estatuto de los Trabajadores, impone al contratista principal una responsabilidad solidaria, responsabilidad que implica atender el cumplimiento de una obligación de naturaleza salaria y las referidas a la Seguridad Social durante el período de vigencia de la contrata.

El empresario principal, salvo el transcurso del plazo antes señalado respecto a la Seguridad Social, y durante el año siguiente a la terminación de su encargo, responderá solidariamente de las obligaciones de naturaleza salarial contraídas por los contratistas y subcontratistas con sus trabajadores y de las referidas a la Seguridad Social durante el período de vigencia de la contrata.

En este caso la tesis de la AEPD se basa en el artículo 10.2 del Reglamento de Desarrollo de la LOPD

No obstante, será posible el tratamiento o la cesión de los datos de carácter personal sin necesidad del consentimiento del interesado cuando:

a) Lo autorice una norma con rango de ley o una norma de derecho comunitario y, en particular, cuando concurra uno de los supuestos siguientes:

El tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.

El tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas.

En consecuencia, la cesión de los TC2 estaría amparada en el artículo 7.3 de la Ley Orgánica 15/1999, en relación con el artículo 42.2 del Estatuto de los Trabajadores y por el alcance que el Código Civil impone a las obligaciones solidarias.

En el caso de las nóminas se plantea el problema adicional de que en algunos casos aparecen datos relativos a la afiliación sindical, para efectuar los pagos de las cuotas correspondientes, siendo este un tipo de dato especialmente protegido. Pero ya que el pago de la citada cuota es una de las obligaciones del empresario que son de carácter solidario en el caso de la relación entre contratista y subcontrata, la AEPD utiliza un argumento similar al del caso anterior para igualmente declarar tal cesión conforme con la LOPD.

Eso sí, el Informe Jurídico advierte:

En todo caso, el acceso por parte del contratista debería limitarse a los datos relacionados con los trabajadores subcontratados y no a cualesquiera trabajadores de la empresa subcontratada.

Al propio tiempo, el hecho de que la comunicación de los datos se encuentre amparada por los artículos ya citados de la Ley Orgánica 15/1999 no eximirá a la empresa subcontratista del cumplimiento del deber de información, respecto de los trabajadores subcontratados, de la cesión de sus datos a la empresa contratista, toda vez que el artículo 5.1 a) de la Ley Orgánica impone al responsable del fichero el deber de informar acerca de los destinatarios de las cesiones de datos que se hubieran producido.